Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Интернет, сеть, связь... > Интернет
Расширенный поиск

Интернет Все о глобальной сети Интернет...

Ответ
 
Опции темы Поиск в этой теме
Старый 16.04.2008, 07:35 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Лампочка DDoS - виртуальный терроризм. Что такое DDoS-атака?

DDoS - виртуальный терроризм. Что такое DDoS-атака?

Терроризм - это, пожалуй, самая большая проблема человечества на сегодняшний день. И виртуальное сообщество здесь мало чем отличается от реального мира. Ушли те романтические времена, когда собирательным образом хакера являлся хитрый тип, взломавший защиту банка и перекачавший на свой счет кругленькую сумму. Жесткие времена - жесткие нравы. Теперь хакеры с помощью атаки на сервер блокируют его работу, а затем выставляют хозяевам свои требования. Виртуальный террор в чистом виде. Редкий месяц обходится без сенсационных сообщений в прессе о том, что тот или иной сервер подвергся DDoS-атаке. В данном обзоре попытаемся разобраться в том, что такое DDoS-атака и что можно предпринять, чтобы снизить ее опасность.

DDoS-атака - сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.

Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют "кластер DDoS". Такая иерархическая структура содержит:

  • управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки;
  • главные компьютеры. Это те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров;
  • агенты - непосредственно сами "зомбированные" компьютеры, своими запросами атакующие узел-мишень.

Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими в данной ситуации и называются "скомпрометированными". Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку.

Другая опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети.

Дело в том, что изначально программное обеспечение DDoS создавалось в "мирных" целях и использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам. Наиболее эффективным в этом случае является использование так называемых ICMP-пакетов (Internet control messaging protocol), т.е. пакетов, имеющих ошибочную структуру. На обработку такого пакета требуется больше ресурсов, после решения об ошибочности пакет отправляется посылающему, следовательно достигается основная цель - "забивается" трафик сети.

За годы это программное обеспечение постоянно модифицировалось и к настоящему времени специалисты по информационной безопасности выделяют следующие виды DDoS-атак:
  • UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP.
  • TCP flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.
  • TCP SYN flood - посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.
  • Smurf-атака - пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки.
  • ICMP flood - атака, аналогичная Smurf, но без использования рассылки.

Естественно, наиболее опасными являются программы, использующие одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки.

Одной из последних программ для организации DDoS-атак является Stacheldracht (колючая проволока), которая позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными между контроллерами и агентами.

Конечно же, в этом обзоре указаны только наиболее известные программы и методики DDoS. На самом деле спектр программ намного шире и постоянно дополняется. По этой же причине достаточно наивным было бы описание универсальных надежных методов защиты от DDoS-атак. Универсальных методов не существует, но к общим рекомендациям для снижения опасности и уменьшения ущерба от атак можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.

На уровне сервера желательно иметь вывод консоли сервера на другой IP-адрес по SSH-протоколу для возможности удаленной перезагрузки сервера. Другим достаточно действенным методом противодействия DDoS-атакам является маскировка IP-адреса.

Весьма важным делом в этом направлении является профилактика - программное обеспечение должно быть "отпатчено" от всевозможных "дыр".

Как уже отмечалось, обнаружить виртуальных террористов, организовавших DDoS-атаку, задача очень сложная. Поэтому для борьбы с данным видом угроз необходимо тесное сотрудничество администраторов серверов и с интернет-провайдерами, а также провайдеров с операторами магистральных сетей. Потому что, как и в реальной жизни, бороться с терроризмом возможно только объединением законопослушных граждан.

Автор: Владимир Малярчук
Источник: hostinfo.ru
  Ответить с цитированием
Старый 16.04.2008, 15:33 Вверх   #2
::.V.I.P.::
 
Аватар для boxx
boxx вне форума
Доп. информация
Лампочка DDOS-атаки и методы борьбы с ними

Еще одна статья немного отличающаяся от предыдущей и дополняющая ее.

DDOS-атаки и методы борьбы с ними

Данная статья писалась с целью объяснить простому вебмастеру, как происходит ddos, и как с ним бороться.

Определение: ddos атака - сокращение от «distributed denial of service attack»

При помощи этих атак временно падали крупнейшие и известнейшие компании, такие как yahoo!, ebay, buy.com, amazon.com, cnn.com и целый ряд других ...

Я не буду жевать сопли и напишу то, о чем как правило никто не никогда не пишет в статьях про ddos.

В основном то что мы видим в сети это поверхностные описания удачных атак, или вопли пострадавших от них.

1) Цель и принцип ddos

Цель ddos вывести обьект атаки из рабочего состояния что может повлечь за собой большие финансовые потери во время дауна или расходы на оборудование для защиты от него и з/п специалистов. Любой вебмастер понимает, что даун его сайтов на 2-3 часа нанесет серьезный вред бизнесу, а если на неделю, то ресурс скорее всего придется поднимать с нуля снова . Я вообще не говорю о владельцах платных сайтов и серьезных Е-комерс ресурсов, чьи убытки могут составлять десятки тысяч долларов в день.

Технология ddos атак подразумевает метод грубой силы - вы тем или иным способом пытаетесь "забить" канал, открывая максимально возможное количество соединений на тот или иной сервис или отправки огромного кол-ва информации которое сервер не в состоянии обработать. все это ведет к потере скорости или полной остановке (зависанию) атакуемого ресурса.

2) ddos - это distributed атака, то есть распространенная, когда вас атакует не один сервер от которого можно легко закрыться фаирволом, а сразу тысячи или десятки тыс., иногда могут быть сотни тысяч и миллионы атакующих ботов ( многие называют их зомби )

Что есть зомби ?

Зомби - это зараженный программой (или сломанный) компьютер или сервер, который будет выполнять команды управляющего сервера.

Как компьютер становится зомби ?

Зомби создаются как правило используя эксплоиты для ОС. Заражая машины через веб браузер при посещении сайтов, при получении почты, или через установку программного обеспечения с установленными в него троянами.

Как много может быть зомби ?

cуществуют дыры которые до сих пор не закрыты и иногда процент заражаемости трафика может достигать 80 % всего трафика на сайте, спам может рассылаться огромными тиражами и как результат мы имеем десятки тысяч зомби.

В зависимости от совершенства кода на самом зомби они могут выполнять разные типы запросов на сервера, иногда делая себя совсем не видимыми для фаирвола или сложно отличимыми от реального серфера, что разумеется усложняет борьбу с ними.

Типы атак я описывать не стану они очень сильно варьируются от старинных типа пинг и syn флуда до новых разработанных персонально для новой атаки.

Все они ведут к тому что сервер ложится как правило и попытки его вернуть к жизни заканчиваются тем, что он снова лежит.

В общем довольно грустная история с ddos атаками. Многие хостеры просто выключают сервера в случае обнаружения атаки. Это демонстрирует то, что они не могут реально ничего с ними поделать.

Борьба с ddos

Это самый наверное интересный кусочек, а так же самый сложный.

Самое сложное в том что борьба с ddos в 98 % случаев ложится на плечи вебмастера, так как провайдеры в большинстве своем просто бьют болт и стандартная схема у них, это поставить на нуль роутинг ваши ip и таким образом для них проблема ddos решена. Вебмастера такое решение не очень радует, так как его сайты при этом ложатся вообще.

Конечно, есть продвинутые провайдеры, которые могут посодейтвовать в борьбе, но это редкость и опять же наджо будет им платить пятизначные цифры что бы иметь какое то влияние на них. Так что остается решать проблемы самому, о том как их решать я и расскажу вам.

1) На уровне сервера. Сервер должен иметь удаленный ребут и вывод консоли сервера на другой ip адрес по ssh протоколу. Это позволит вам быстро перезагружать сервер, что бывает более чем нужно в самом начале ddos атаки. Вывод консоли позволит полностью выключить ssh на сервере. Это необходимо потому, что его тоже очень часто досят вместе например с вебсервером, что бы усложнить работу админа сервера или сделать сервер вовсе не доступным для администрации.

2) На уровне сервисов сервера. Секюрити аудит – must be, то-есть, по-русски, должен быть сделан, все сервисы машины должны быть отпатчены от всех известных и не известных дырок. О тюнинге веб сервера под ddos атаками можно писать целую книгу, поэтому я не буду лишать себя куска хлеба. :)

3) На уровне сети. Для начала блокируются все то, что может дать больше инфы атакующему о вас. Блокируется пинг и трейс. Сервер убирается под nat. Маскируется его ip как только это возможно. Это уже очень професиональный способ защиты сервера путем прятания его ip адреса. Применяется в многих платных системах защиты от ddos.

4) На уровне провайдера. Через анализ пакетов или через блокирование ip адресов.

5) На уровне железа. Применяя хардварные решения от ведущих фирм производителей типа Сisco, 3com, nortel и тп. Данные решения борьбы на аппаратном уровне потребуют больших финансовых затрат от 10к и выше. Комплексные решения обойдутся около 50-80 тыс долларов. Так же сюда можно отнести производителей 3rd party оборудования для хардварной защиты. Большая их часть действует по принципу анализа пакетов и дальнейшей их фильтрации где нужный пакеты проходят к серверу, а ненужные фильтруются и сегменты сети откуда они пришли блокируются роутером или фаирволом. Более продвинутые системы умеют прятать ваш сервер полностью и в сети никогда не встретится его ip адрес и его прямое сканирование и ddos атака невозможны.

6) На уровне админов вашего сервера. Используя логи фаирвола сервера вы видите кучу ip адресов откуда на вас идут атаки. Вы можете анализировать его и искать уязвимые рабочие станции среди них, из 10000 машин 1-3 обязательно окажутся доступными для того что бы по ним полазить. Вы можете найти самого зомбика который осуществляет атаку на вас. Далее его можно попытаться поковырять, чтобы найти кто пускает атаки на вас и если повезет найти контрольный сервер и как вариант контратаковать его. Хотя такое будет не возможно если ddos атака не контролируемая, а например вирусная. Напомню, это когда вас атакуют рабочие станции которые были заражены предварительно и их действия не контролируются вручную, они не очень опасны так как если вы смените, например, ip и домен, то такая атака умрет сама.

7) Комбинированное использование всех систем.

В заключение хочу сказать что всё, что тут написано не покрывает и 80 % всех методов борьбы с ddos и на эту тему работают очень много людей во всем мире. Так что я в этой небольшой статье не смогу описать всего, даже если очень захочу. Но, надеюсь, она вам немного поможет для понятия азов того, как необходимо бороться с ddos атаками.

Источник: articles.org.ru
  Ответить с цитированием
Старый 16.04.2008, 16:08 Вверх   #3
.:V.I.P.:.
 
Аватар для volker
volker вне форума
Доп. информация
По умолчанию

Так надо определить хто это зделал.
  Ответить с цитированием
Старый 28.07.2009, 23:54 Вверх   #4
.:V.I.P.:.
 
Аватар для Lifeline
Lifeline вне форума
Доп. информация
Хорошо Всё о DDoS-атаках на простом языке, доступном для пользователя

Я думаю что Вы хоть рас в жизни да слыхали или читали что сайт находится под ДДоСом или DDoS-атакой, но что это такое Вы понять не могли. Так вот, в этой статье я расскажу все о DDoS. Вообще фраза DDoS-атака берет свое начало от английского “Distributed Denial of Service”, распределённая атака типа «отказ в обслуживании». Т.е. сервер перегружают запросами или перегружают канал интернета сервера с целью полностью вырубить сайт или затруднить вход пользователям на сайт. Обычно таким атакам подвергаются очень популярные сайты или сайты администратор который насолил какому нибудь “хаккеру” или т.п. “другу”. Суть атаки заключается в том что множество компьютеров одновременно подключаются к атакуемому серверу и сервер не успевает обрабатывать все запросы. Если сервер очень мощный, а атака нет, то сайт в таких случаях просто тормозит, если атака сильная – то сайт не работает совсем.

Кстати говоря, если к примеру Вы расположите ссылку на свой сайт на очень популярном сайте (к примеру на Яндексе), то к Вам на сайт могут пойти по этой ссылке тысячи пользователей, и могу поспорить что обычный сервер не выдержит такова наплыва, это кстати и будет считаться DDoS-атакой, хотя по сути к Вам на сайт будут пытаться зайти обычные пользователи.

Сами по себе эти атаки не могут возникнуть из неоткуда, есть причины их возникновения:

1. Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объёма оперативной памяти (исчерпанию памяти).

2. Ошибка в программном коде. Это называют дырами и их часто используют для атаки, таким образом можно заставить сервер аварийно завершить серверное приложение.

3. Атака флудом. Эта атака самая распространенная на текущий момент в интернете, суть атаки заключается в следующем. Атакующие компьютеры отправляют на сервер неправильно сформированные (бессмысленные) пакеты данных. Суть атаки – выжать из сервера все ресурсы и вырубить тем самым атакуемый сайт. Если такая атака производится с множества IP – то это называется распределенной атакой.

3. Атака второго рода, этот вид атаки стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Кто и как производит эти атаки? Атаки производят держатели специальных “бот-сетей”, компьютеры этих сетей по команде готовы ринуться в атаку на сайт. Суть проблемы растет вместе с прогрессом. К примеру обучно серверы подключают к интернету по каналу 100 мегабит – это довольно много. Но вот прикиньте, в Москве есть оператор Карбина который предлагает за 1300 рублей скорость интернета 26 мегабит. Т.е. получается, если четыре подключенных с такой скоростью компьютера начнуть бомбить флудом сервер – то они перегрузят канал… а это всего 4 компьютера. Раньше скорость была очень маленькой и организовать атаку было довольно сложно. Но есть одно но, если администраторы сервера грамотно подготовлены, то они смогут запросто вычислить эти самый компьютеры и заблокировать их IP. Тогда данные передаваемые на сервер обрабатываться не будут, это простейшая защита от простейшей ДоС атаки. Но что делать если атаки идет с сотен тысяч компьютеров ? Обычно ничего, но есть выходы. У Вас наверно возник вопрос, а откуда берутся эти сотни тысяч атакующих компьютеров ? А ответ прост: это компьютеры зараженные троянскими программами которыми перенасыщен интернет, т.е. Вы подхватываете в интернете трояна и можете, сами того не зная, стать участником атаки. Поэтому я умоляю всех ставить себе надежное антивирусное программное обеспечение, этим самым Вы снижаете мощность предполагаемой атаки на 1 компьютер, а если будут защищать свой комп не один, а все – то шансов на массовые атаки будет куда меньше. Один из моих сайтов очень часто подвергается атакам, т.к. он вышел в топы в поисковых запросах и этим мешает другим сайтам, так они и борятся с конкурентами.

Есть еще один очень не сложный, но довольно распространенный вид атаки среди любителей. Суть заключается в том, что группа людей начинает с высокой интенсивностью одновременно загружать главную страницу сайта, если хостинг дешевый и атакующих много, то это будет DDoS для Вашего и сайт Ваш скорее всего закроет сам хостер в связи с чрезмерным расходом ресурсов, цель атакующих будет достигнута. В таких случаях лучше всего защищаться с помощью фильтрации IP адресов самостоятельно или установкой специального скрипта, который будет автоматически баннить таких пользователей.

Я не буду писать о методике обнаружения атак, так как Вам это будет не интересно. Лучше я сразу напишу о том, как защищаются от атак.
  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.
  • Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.
  • Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.
  • Наращивание ресурсов. Усиление производительности сервера.
  • Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера.

Если Вы хоститесь у обычных хостинговых компаний, то единственное что сделает хостер, в случае обнаружения атаки на Ваш сайт, – он закроет Ваш аакаунт с целью уберечь остальных клиентов. Т.е. попросту говоря – цель атакуемых будет достигнута. Для того чтобы этого не произошло – нужно размещать свой сайт у хостинговых компаний, которые гарантируют защиту от подобного рода атак путем фильтрации трфика. Фильтрация трафика производится очень дорогостоящим оборудованием, поэтому мечтать о низких ценах даже и не думайте. В среднем цена хостинга одного сайта с выделением места в 1 гигабайт и защитой от атаки фильтрацией 500 мегабит трафика стоит 75 долларов в месяц, и это еще дешево. Я чуть выше писал уже что скорость подключения одного ПК может достигать 26 мегабит за мизерные деньги, так вот, эти 500 мегабит будут отсеивать всего 20 компов на такой скорости. Есть оборудование которое может фильтровать гигабиты трафика, но цены на его использование просто заоблачные.
Чуть выше я писал о том что можно защищать свой сайт от “любительских” атак путем установки скрипта фильтрации IP адресов. Есть такой скрипт, называется Klavasoft AntiDDOS, сам по себе конечно он не защитит от серьезных атак, но от простых защитить сможет. Это единственный на текущий момент скрипт, который действительно реально работает. Скачать сам скрипт, посмотреть информацию о его настройке и установке Вы сможете на его официальном сайте.

Статья взята с блога: http://megaboxx.ru

Последний раз редактировалось Serberg; 29.07.2009 в 00:09.. Причина: добавлены копирайты
  Ответить с цитированием
Старый 29.07.2009, 00:03 Вверх   #5
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от A®mIn Посмотреть сообщение
Статья подготовлена специально для bormotuhi.net
Вообще это считается нарушением авторского права.

Все что нужно, это зайти на сайт: http://www.copyscape.com/ и ввести http://megaboxx.ru/2009/07/vsyo-o-dd...-polzovatelya/

Наш форум будет 1 в списке плагиата это статьи. Для этого люди и оставляют ссылки на первоисточник, а DDoS может служить как попытка сделать мир справедливей в таких случаях. Т.е. люди смотрят на свой труд и видят в подписи полную лажу, статья чужая. В россии с правообладателями никто не работает а в отместку можно и западло сделать какое нить сайту, например DDoS

Последний раз редактировалось Serberg; 29.07.2009 в 00:07..
  Ответить с цитированием
Cказали cпасибо:
Старый 29.07.2009, 00:04 Вверх   #6
.:V.I.P.:.
 
Аватар для Lifeline
Lifeline вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
Вообще это считается нарушением авторского права.
Что убрать?
  Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Doss-атака на форум. Serberg Новости форума 64 13.11.2012 00:22
Виртуальный, файловый хостинги, администр.VPS, лицензии ПО MoF Хостинг (Hosting) 5 23.01.2012 17:39
Dgrad-Host.ru - Виртуальный хостинг, выделенные сервера. rootden Хостинг (Hosting) 32 12.10.2011 14:07
DoSS-атака и ее последствия.... Serberg Новости форума 3 01.10.2011 21:04
24-Hoster Solutions - Виртуальный хостинг, выделенные сервера. lyapish Хостинг (Hosting) 9 07.05.2011 17:01


Текущее время: 23:47. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.16404 секунды с 11 запросами